Privacy Policy

Privacy Policy
Cutler Fitness by Allure
EGER

I. Scope of the Policy
This policy applies to the entirety of Cutler Fitness by Allure Eger (Address: 3300 Eger, Liliom u. 1., Operator: Allure Hotel Kft., Tax number: 24107754-2-43), including all organizational units and all employees (hereinafter referred to as: the company).

II. Purpose of the Policy
The purpose of this Policy is to ensure the enforcement of the protection of personal data as defined by the Fundamental Law of Hungary and the realization of informational self-determination. It also aims to define the data protection and data security rules applicable to the processing of personal data managed by the company.

III. Applicable Legislation
The company shall conduct data processing in accordance with the provisions of the following regulations and laws, and in line with this internal policy:

Regulation (EU) 2016/679 of the European Parliament and of the Council (April 27, 2016) on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation – GDPR)

Act CXII of 2011 on the Right of Informational Self-Determination and on Freedom of Information (Infotv.)

Act V of 2013 on the Civil Code (Ptk.)

Act I of 2012 on the Labour Code (Mt.)

IV. Definitions
The definitions used in the GDPR and the Infotv. apply. Key terms relevant to the nature of this Policy include:

a) Personal data: any information relating to an identified or identifiable natural person (“data subject”).

b) Identifiable natural person: one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier, or one or more factors specific to the physical, physiological, genetic, mental, economic, cultural, or social identity of that natural person.

c) Data processing: any operation or set of operations performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure, dissemination, alignment, combination, restriction, erasure or destruction, including the recording of physical characteristics suitable for identifying a person (e.g. fingerprints, palm prints, DNA samples, iris scans).

d) Data controller: the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of processing personal data.

e) Data processor: a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.

f) Recipient: a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, regardless of whether it is a third party.

g) Third party: a natural or legal person, public authority, agency or body other than the data subject, data controller, processor, and persons authorized under their direct authority to process data.

h) Filing system: any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis.

i) Data breach: a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data.

j) Representative: a natural or legal person established in the Union who has been designated in writing by the controller or processor to represent them regarding their obligations under the Regulation.

k) Undertaking: a natural or legal person engaged in economic activity, regardless of the legal form, including associations regularly engaged in economic activity.

Additional definitions:

l) Data inventory: a document that serves to assess the range and nature of personal data processed by the data controller.

m) Technical and organizational measures: procedures defined by the controller according to the nature, scope, context and purposes of processing and the risks to the rights and freedoms of natural persons, ensuring and demonstrating compliance with the GDPR. These measures are reviewed and updated as necessary by the controller.

V. Principles of Data Processing
The company processes personal data lawfully, fairly, and in a transparent manner for the data subject (lawfulness, fairness, and transparency).

The company collects personal data only for specified, explicit, and legitimate purposes and does not process them in a manner that is incompatible with those purposes (purpose limitation).

The company processes data in a manner that is adequate, relevant, and limited to what is necessary in relation to the purposes for which they are processed (data minimization). Accordingly, the company does not collect or store more data than is strictly necessary for the purposes of processing.

The company ensures that personal data is accurate and up-to-date. The company takes all reasonable measures to ensure that inaccurate personal data is erased or rectified without delay (accuracy).

The company stores personal data in a form that permits identification of data subjects only for as long as necessary for the purposes of the data processing, considering the data retention obligations set by applicable laws (storage limitation).

The company ensures appropriate security of personal data, including protection against unauthorized or unlawful processing, accidental loss, destruction, or damage, using appropriate technical or organizational measures (integrity and confidentiality).

The company is responsible for compliance with the above principles and is able to demonstrate such compliance (accountability). Accordingly, the company ensures the continuous enforcement of this internal policy, regularly reviews its data processing practices, and modifies them if necessary. It also keeps documentation to demonstrate compliance with legal obligations.

VI. Legal Basis for Data Processing
The processing of personal data is lawful only if and to the extent that at least one of the legal bases defined in points 13–18 applies:

The data subject has given consent to the processing of their personal data for one or more specific purposes (consent-based data processing).

The processing is necessary for the performance of a contract to which the data subject is party, or in order to take steps at the request of the data subject prior to entering into a contract (contract-based data processing).

The processing is necessary for compliance with a legal obligation to which the company is subject (legal obligation-based data processing).

The processing is necessary to protect the vital interests of the data subject or another natural person (vital interest-based data processing).

The processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the company (public interest-based data processing).

The processing is necessary for the purposes of the legitimate interests pursued by the company or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject, in particular where the data subject is a child (legitimate interest-based data processing).

The company will always process personal data for a specific purpose under one legal basis only. The legal basis may change during the data processing lifecycle.

VII. Data Asset Inventory
The company prepares a data asset inventory to define the technical and organizational measures required for lawful data processing in accordance with the GDPR and other legal obligations. This inventory includes all categories of personal data processed by the company.

The following information is recorded in the data asset inventory in connection with the company’s data processing activities:

a) data subject,

b) name and purpose of processing,

c) categories of personal data processed,

d) any special categories of personal data (if applicable),

e) legal basis for processing,

f) duration of data processing,

g) who within the organization has access to the personal data,

h) to whom the data may be transferred,

i) whether a data processor is used, and if so, for what purpose, which data, and for how long.

In case the company acts as a data processor, the following information is also recorded in the data asset inventory:

a) the activity in which the company acts as a data processor,

b) the controller on whose behalf the data is processed,

c) which personal data is accessed,

d) the duration of data storage.

VIII. Rights of the Data Subject and Their Enforcement
Right to Information
In accordance with the GDPR, the company provides the following rights to data subjects.

The right to information applies regardless of the legal basis of data processing.

The company provides clear, concise, and easily accessible information in an understandable and transparent manner.

The information is provided in writing or by other means, including electronic means where appropriate.

Upon request, verbal information may also be provided if the identity of the data subject is otherwise verified.

The company shall respond to data subject requests without undue delay and no later than 30 days from receipt.

If necessary, considering the complexity of the request and the number of requests, the response deadline may be extended by an additional 60 days. The company shall inform the data subject of the extension and its reasons within 30 days.

The information and actions requested are provided free of charge.

If a request is manifestly unfounded or excessive (especially if repetitive), the company may:

a) charge a reasonable fee, or

b) refuse to act on the request.

The burden of proving the manifestly unfounded or excessive nature of the request lies with the company.

Mandatory Information
If the personal data is obtained directly from the data subject, the company provides the following information at the time of collection:

a) identity and contact details of the company,

b) contact details of the data protection officer (if applicable),

c) purpose and legal basis for processing,

d) legitimate interest (if applicable),

e) recipients of the personal data (if applicable),

f) whether data will be transferred to a third country or international organization (if applicable).

Additionally, the company shall inform the data subject of:

a) data retention period,

b) their right to request access, rectification, deletion, restriction, objection, and data portability,

c) right to withdraw consent at any time (if applicable),

d) right to lodge a complaint with a supervisory authority (Hungarian: NAIH),

e) whether the provision of data is a legal or contractual requirement, and potential consequences of failure to provide data.

If further processing for a new purpose is intended, the company will inform the data subject in advance with all relevant additional information.

This mandatory information may be provided:

a) via a clearly accessible Privacy Notice on the website,

b) as an attachment to a contract or other document for the relevant group of data subjects.

If the company receives personal data not directly from the data subject (e.g. due to legal obligation), and a strict confidentiality requirement is imposed, the company is not obliged to inform the data subject.

Right of Access
The data subject has the right to obtain confirmation as to whether their personal data is being processed.

Where such data is processed, the data subject has the right to access the following:

a) purposes of the processing,

b) categories of personal data concerned,

c) recipients or categories of recipients,

d) storage duration (if applicable),

e) rights to rectification, erasure, restriction, and objection,

f) right to lodge a complaint with a supervisory authority,

g) source of the data (if not collected from the data subject),

h) existence of automated decision-making, including profiling.

The company provides a copy of the personal data undergoing processing.

Additional copies may incur a reasonable fee based on administrative costs.

Right to Rectification
The data subject has the right to rectification under all legal bases of processing.

The company corrects inaccurate personal data without undue delay and completes incomplete data at the request of the data subject.

Right to Erasure (“Right to be Forgotten”)
This right is not automatic and does not apply to all legal bases.

The company deletes personal data without undue delay if:

a) data is no longer needed for the purpose collected,

b) consent is withdrawn and no other legal basis exists,

c) data subject objects and there is no overriding legitimate reason,

d) data was processed unlawfully,

e) deletion is required by legal obligation.

The company is not obliged to delete data if legal obligations require its retention.

The company verifies the legitimacy of the request before proceeding with deletion.

If deletion is required, the company ensures that data is deleted from all databases.

A deletion record is kept containing:

a) name of the data subject,

b) type of data deleted,

c) date of deletion.

Right to Erasure, Restriction, Objection, and Data Portability
50. The company shall inform all recipients to whom the personal data have been transferred of any obligation to erase personal data arising from a request.

Right to Restriction of Processing

51. The right to restriction of processing applies to data subjects regardless of the legal basis of data processing.

52. Upon request by the data subject, the company shall restrict processing where one of the following applies:

(a) the data subject disputes the accuracy of the personal data, in which case the restriction applies for the time needed to verify accuracy;

(b) the processing is unlawful and the data subject opposes erasure and requests restriction instead;

(c) the company no longer needs the personal data for processing purposes, but the data subject requires them for the establishment, exercise or defense of legal claims;

(d) the data subject has objected to processing based on public interest or legitimate interest (points 17 and 18), pending verification of whether the company’s legitimate grounds override those of the data subject.

53. During restriction, such personal data may only be processed—other than storing—with the data subject’s consent, for legal claims, for protecting others' rights, or for important public interest reasons.

54. The company shall inform all recipients of restricted data that their processing must be restricted.

Objection

55. The data subject has the right to object to processing based on public interest or legitimate interest.

56. Upon objection, the company shall cease processing unless it demonstrates compelling legitimate grounds that override the data subject’s interests, or for legal claims.

57. Where processing is for direct marketing, the data subject may object at any time.

58. If the data subject objects to marketing-related processing, the data may no longer be processed for that purpose.

Right to Data Portability

59. The data subject has the right to data portability where processing is based on consent or contract and is automated.

60. The company shall provide the data subject with their personal data in a structured, commonly used, machine-readable form and allow transmission to another controller.

IX. Records of Processing Activities
61. To ensure accountability, the company maintains a record of processing activities as required by the GDPR.

62. The company shall maintain records of:

(a) transfers of personal data,

(b) data subject requests and responses,

(c) supervisory authority inquiries and responses,

(d) cessation requests,

(e) customer data,

(f) marketing contacts,

(g) employment-related personal data,

(h) recruitment records,

(i) data breach records.

63. These records must include:

company name and contact details (and those of its representative or data protection officer, if any);

purposes of processing;

categories of data subjects and personal data;

recipient categories;

any transfers to third countries or international organizations;

envisaged retention periods;

description of technical and organizational measures.

64. If acting as a data processor, the company shall record:

(a) names and contacts of the controllers;

(b) categories of processing activities;

(c) any transfers to third countries or international organizations.

65. Records may be kept either on paper or electronically.

X. Adatbiztonsági rendelkezések

66. A vállalkozás a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

67. Előzőek értelmében a vállalkozás köteles garantálni az általa kezelt adatok bizalmasságát, sérthetetlenségét és rendelkezésre állását.

68. A megfelelő szintű adatbiztonsági intézkedések meghatározása érdekében a vállalkozás a kezelésében lévő minden egyes adatállományt a védelmi igény szempontjából értékel, és biztonsági fokozatba sorol.

69. Az egyes adatkezelések biztonsági fokozatának megállapításához elemezni kell:
a) a kezelt személyes adatok jogosulatlan megismerésével, megváltoztatásával, törlésével, a hardver- és szoftvereszközök megrongálásával járó kockázatot és a várható kárt;
b) azt, hogy helyreállítható-e a sérült adatállomány, valamint az esetleges helyreállítás ráfordításait, a személyes adatok reprodukálásához szükséges adatforrások rendelkezésre állását, a manuális háttérnyilvántartásból az elveszített adatok pótlásának lehetőségét;
c) azt, hogy a kezelt személyes adatok jellegére tekintettel indokolt-e megkülönböztetett biztonsági előírásokat alkalmazni;
d) az adatbiztonságot veszélyeztető más kockázati elemeket;

70. Az adatkezelés biztonsága megvalósítása érdekében a vállalkozás fizikai, logikai és adminisztratív kontrollokat alkalmaz együttesen.

71. A vállalkozás legalább az alábbi fizikai kontrollokat alkalmazza:

a) a vállalkozás a jogosulatlan személyek belépésének kiszűrésére alkalmas beléptetési rendszer működtetésével biztosítja, hogy épületébe/irodájába jogosulatlan személyek ne léphessenek be (pl. elektronikus beléptetési rendszer működtetés; vagy egyszerű kulcsos beléptetés, ahol a kulcs csak belépésre jogosultaknak áll rendelkezésre; vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

b) a vállalkozás az általa mind elektronikusan, mind pedig papír alapon kezelt adatokhoz való jogosulatlan hozzáférés elkerülése érdekében biztosítja, hogy a kezelt adatokhoz fizikailag ne férhessen hozzá arra jogosulatlan személy (irodák, szerver szobák zárása; monitor fóliák alkalmazása; monitorok olyan módon történő elhelyezése, hogy az azon szereplő adatokra kizárólag a jogosultak láthassanak rá; csak a vállalkozás által auditált adathordozót lehessen a számítógépekhez csatlakoztatni; vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

72. A vállalkozás legalább az alábbi logikai kontrollokat alkalmazza:

a) a vállalkozás biztosítja, hogy az általa kezelt adatokhoz kizárólag az arra megfelelő jogosultsággal rendelkezők férjenek hozzá (jogosultsági szintek meghatározása munkakörönként; számítógépes adatbázisokhoz való hozzáférés jogosultsági szinteknek megfelelő beállítása; a belső számítógépes hálózatba való belépés felhasználó névhez és jelszóhoz kötése; vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

73. A vállalkozás legalább az alábbi adminisztratív kontrollokat alkalmazza:

a) a vállalkozás biztosítja, hogy a személyes adatokhoz való esetleges hozzáférés dokumentációkban nyomon követhető legyen (tevékenység logolás; épületbe/irodába való beengedés naplózása (akár papír alapon); vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

b) a vállalkozás biztosítja olyan iratkezelési eljárásrend kialakítását, hogy a hozzá tévesen beérkező személyes adatokat tartalmazó iratok a lehető leghamarabb kiszűrésre kerüljenek és azokat a lehető legszűkebb személyi kör ismerje meg (amennyiben a postabontó úgy ítéli meg, hogy ilyen adatot tartalmazó irat birtokába jutott, úgy azt kizárólag erre vagy bármi más, olyan módszer, amely a cél megvalósulását biztosítja).

XI. Adatvédelmi incidensek kezelése

74. Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

75. Az adatvédelmi incidenst a vállalkozás indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a hatóságnak.

76. Az adatvédelmi incidenst nem kell a hatóságnak bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

77. Amennyiben a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

78. Amennyiben az adatvédelmi incidens hatóság számára történő bejelentése szükséges, úgy a bejelentésben:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhető¬ségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell a vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

79. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a vállalkozás indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

80. A 79. pont szerinti tájékoztatásban az érintettel világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell:

a) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
b) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
c) ismertetni kell a vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

81. Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) a vállalkozás megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
b) a vállalkozás az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

82. Amennyiben a vállalkozás adatfeldolgozási tevékenységet is végez, úgy a nála bekövetkezett adatvédelmi incidensről haladéktalanul tájékoztatja az adatkezelőt, akinek a számára az adatfeldolgozási tevékenységet végzi.

83. Amennyiben a vállalkozás adatfeldolgozót alkalmaz, úgy az adatfeldolgozó szerződésben ki kell kötni, hogy az adatfeldolgozó köteles a nála bekövetkezett adatvédelmi incidenst haladéktalanul bejelenteni a vállalkozásnak.

XII. Ügyfél adatok kezelése

84. A vállalkozás a jogszabályi kötelezettségen alapuló tevékenységét írásbeli szerződés alapján végzi. Az adatok kezelésének jogalapja a szerződésen alapul, a szerződést aláíró fél és a rá vonatkozó személyes adatok vonatkozásában.

85. Az előző pont szerinti szerződés teljesítése keretében a vállalkozás számára hozzáférhetővé váló személyes adatok (így például a szerződésben szereplő kapcsolattartó adatai vagy a jogszabályi kötelezettségen alapuló tevékenység jogszabályi előírásai és szakmai irányelvei, követelményei szerinti feladat ellátás során megismerni szükséges vagy szükségesnek ítélt személyes adatok {például tagi kölcsön}) kezelésének jogalapja a vállalkozás jogos érdekén alapul. A GDPR rendelkezéseinek megfelelően ez esetben szükséges az alábbi érdekmérlegelési tesztet elvégezni:
a) adatkezelés tárgya
b) a jogos érdek jogalap megállapítása
c) a kezelendő személyes adatok
d) adatkezelés célja
e) a vállalkozás jogos érdekének megnevezése
f) az érintettek milyen jogai sérülhetnek
g) érdekmérlegelés
h) milyen intézkedéseket, garanciákat alkalmaz a vállalkozás az így gyűjtött személyes adatok megfelelő védelme érdekében.

86. Az adott személyes adat körének kezelésére vonatkozóan elvégzett érdekmérlegelési teszt(ek) jelen szabályzat mellékletét képezi(k).

XIII. Munkaviszonnyal összefüggő adatkezelések

87. A vállalkozás a 36. pont szerinti "Adatkezelési tájékoztatóba" belefoglalja az álláspályázatokra vonatkozóan a 33. és 34. pontban meghatározottakat. A vállalkozás az általa kiírt álláspályázatban az elérhetőség megjelölésével hivatkozik az "Adatkezelési tájékoztatóra". Amennyiben a vállalkozás nem elektronikus úton tette elérhetővé az "Adatkezelési tájékoztatót", úgy a vonatkozó rendelkezéseket az álláspályázatba foglalja.

88. Amennyiben a vállalkozás az álláspályázat az állás betöltését követően is tárolni kívánja az álláspályázó által beadott iratokat, úgy ehhez az álláspályázó hozzájárulását kell kérni. A hozzájárulásnak önkéntesnek, konkrétnak, megfelelő tájékoztatáson alapulónak és egyértelműnek kell lennie. Ennek érdekben a hozzájáruló nyilatkozatnak legalább az alábbiakat kell tartalmaznia:
a) a vállalkozás képviselőjének kiléte és elérhetőségei;
b) a személyes adatok tervezett kezelésének célja (pl. későbbi megkeresés újonnan megnyílt pozíció betöltésére), valamint az adatkezelés jogalapja (hozzájáruláson alapuló);
c) a személyes adatok tárolásának időtartama;
d) az érintett azon joga, hogy kérelmezheti a vállalkozástól a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását;
e) az érintett azon joga, hogy bármely időpontban visszavonhatja a hozzájárulását, amely azonban nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
f) a hatósághoz címzett panasz benyújtásának jogáról.

89. A pályázat elbírálása után az eredménytelen pályázók személyes adatait tartalmazó adathordozókat a pályázónak – kérésére – 90 napon belül vissza kell küldeni, vagy a pályázónak a személyes adatai további pályázatok során történő felhasználására vonatkozó hozzájárulása hiányában meg kell semmisíteni. A megsemmisítésről (törlésről) jegyzőkönyvet kell felvenni.

90. A vállalkozás a munkavállalók adatait a Mt. vonatkozó rendelkezései alapján kezeli és az Mt-ben meghatározott módon tájékoztatja, a GDPR-ban foglalt adatkezelési alapelvek betartása mellett.

91. A vállalkozás a munkavállalóknak tájékoztatást ad az általa igénybe vett adatfeldolgozókkal kapcsolatban azok kilétéről és a számukra továbbított adatok köréről.

92. A munkaviszonyban történő adatkezelés során jellemzően az alábbi jogalapok kerülnek meghatározásra:
a) szerződésen alapuló [a munkaszerződés]
b) jogi kötelezettségen alapuló [adózás, tartásdíj levonás]
c) jogos érdeken alapuló [például munkahelyi ellenőrzéssel kapcsolatos adatok].

93. Amennyiben a vállalkozás 92. c) pont alapján kezel adatot, úgy a GDPR rendelkezéseinek megfelelően ez esetben szükséges az alábbi érdekmérlegelési tesztet elvégezni:
i) a vállalkozás jogos érdekének megnevezése
j) kik az érintettek és milyen jogai sérülnek
k) érdekmérlegelés
l) milyen intézkedéseket, garanciákat alkalmaz a vállalkozás az így gyűjtött személyes adatok megfelelő védelme érdekében.

94. Az adott személyes adat körének kezelésére vonatkozóan elvégzett érdekmérlegelési teszt(ek)et a munkavállalók számára hozzáférhetővé kell tenni [például belső hálózat útján, munkaszerződés mellékleteként].

XIV. Az adatfeldolgozó igénybevételére vonatkozó rendelkezések

95. Ha az adatkezelést a vállalkozás nevében más, a vállalkozás kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

96. Az adatfeldolgozó a vállalkozás előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.

97. Az adatfeldolgozó által végzett adatkezelés vonatkozásában a vállalkozás és az adatfeldolgozó szerződést kötnek. Ezen szerződés az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a vállalkozás kötelezettségeit és jogait határozza meg.

98. Az előző pont szerinti szerződés különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag a vállalkozás írásbeli utasításai alapján kezeli,
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) alkalmazza a legalább a vállalkozás által előírt szintű adatbiztonsági intézkedéseket;
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan fentebb említett feltételeket;
e) az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a vállalkozást abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
f) segíti a vállalkozást az adatvédelmi incidens szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
g) vállalja, hogy a nála bekövetkező adatvédelmi incidens esetén haladéktalanul tájékoztatja erről a vállalkozást;
h) az adatkezelési szolgáltatás nyújtásának befejezését követően a vállalkozás döntése alapján minden személyes adatot töröl vagy visszajuttat a vállalkozásnak, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő.

99. Az adatfeldolgozó és a nála személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag a vállalkozás utasításának megfelelően kezelheti.

XIV. Hatályba léptető és záró rendelkezések

100. Jelen szabályzat 2019. november 2.-án lép hatályba.

Eger, 2019. november 2.

Tóth Martin
Ügyvezető

1. melléklet
Adatvédelmi tájékoztató
Cutler Fitness by Allure Eger

Tárgya:
Vendég előzetes tájékoztatása személyes adatainak hozzájáruláson alapuló kezeléséről

Adatkezelő társaság adatai:

Neve: Allure Hotel Kft.

Székhelyének címe: 2151 Fót, Titok köz 1. B. ép.

Postázási címe: 3300 Eger, Liliom utca 1.

Adószáma: 24107754-2-43

Képviselőjének neve: Tóth Martin

Képviselőjének telefonszáma: +36 30 877 7910

Képviselőjének e-mail címe: recepcio@allure-eger.hu

Honlapja: www.allure-eger.hu

Adatkezelés jogalapja: hozzájárulás (GDPR 6. cikk (1) bek. a) pont)

Az adatkezelés célja: Adatkezelő által üzemeltetett létesítmények használati jogosultságának megállapítása, Vendég által fogyasztott termékek nyilvántartása, valamint igénybevett szolgáltatások tényének rögzítése

Adatfeldolgozó: OpTime nyilvántartó rendszer
Optimal-Time Kft. ; 9200 Mosonmagyaróvár, Áchim A. utca 14.

Személyes adatok tárolásának időtartama:
A tárolt adatok a Vendég kérése esetén kerülnek törlésre, amennyiben a vendég már nem kívánja a jövőben igénybe venni az Adatkezelő által üzemeltetett létesítményeket, valamint amennyiben a Vendég nem rendelkezik fennálló díjtartozással az Adatkezelő irányában.

A Vendég személyes adatai

Vendégről készült fényképet, továbbá nevét, telefonszámát és e-mail címét, szükség esetén egyéb személyes adatát (pl. személyazonosság vagy kedvezményre feljogosító okmány típusa és száma stb.) tároljuk azonosíthatósága miatt.

A Vendég GDPR-ben foglalt jogai

Önnek, mint a Társaságunknál személyes adatok kezelésében érintett személynek joga van
• kérelmezni Társaságunktól az Önre vonatkozó személyes adatokhoz való hozzáférést,
• az Ön személyes adatainak kiegészítését, helyesbítését, törlését vagy zárolását,
• jogszabályban meghatározott feltételek fennállása esetén Önnek joga van az adat-hordozhatósághoz, továbbá
• tiltakozhat az Ön személyes adatainak kezelése ellen, illetve
• Önnek joga van az adatkezelési hozzájárulását bármely időpontban ingyenesen visszavonni. A visszavonás nem érinti – a hozzájárulás visszavonása előtt – végrehajtott adatkezelés jogszerűségét. A visszavonást Ön Társaságunk postázási címére elküldött postai úton vagy elektronikus úton is kezdeményezheti az Adatkezelő társaság adatai alatt megadott Képviselőjének e-mail címén.
• Önnek joga van a felügyeleti hatósághoz panaszt benyújtani (Nemzeti Adatvédelmi és Információszabadság Hatóság, http://naih.hu, telefonszám: +36 (1) 391-1400, posta-cím: 1530 Budapest, Pf.: 5., e-mail: ugyfelszolgalat@naih.hu). Amennyiben Ön külföldi állampolgár, úgy a lakhelye szerinti felügyeleti hatóságnál is panaszt tehet.
• Jogai megsértése esetén Ön bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Az adatvédelmi perek elbírálása a törvényszék hatáskörébe tartozik, a per – az Ön választása szerint – az Ön lakhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

Az adatszolgáltatás előfeltétele a szerződéskötésnek, Ön a személyes adatok megadására köteles amennyiben igénybe kívánja venni Társaságunk szolgáltatásait. További információ az adatkezelési tájékoztatónkban olvasható, amely Társaságunk honlapján található, valamint kérhető Társaságunktól nyomtatott formában is megtekintés céljából.

A személyes adatok kezelése tekintetében a főbb irányadó jogszabályok a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), illetve az információs önrendelkezési jogról és az információ-szabadságról szóló 2011. évi CXII. törvény (Infotv.).

A Cutler Fitness by Allure Eger szolgáltatásainak igénybe vételével egyidejűleg kijelentem, hogy az általam fentiekben megadott személyes adataim a valóságnak megfelelnek és a jelen dokumentumban megjelölt célú és időtartamú adatkezeléséhez önkéntesen, minden külső befolyás nélkül járulok hozzá.

Eger, 2021. február 1.

Tóth Martin
Ügyvezető

2. melléklet
ADATOK TOVÁBBÍTÁSA ÉS AZ ADATOK TOVÁBBÍTÁSÁNAK
NYILVÁNTARTÁSA

1. Adattovábbítás a cégen belül
A cégen belül személyes adatok továbbítása csak a célhoz kötöttség elvének megfelelően történhet, olyan adatkezelőhöz, aki hozzáférési joggal rendelkezik az adatokhoz.

2. Adattovábbítás harmadik személy részére
Személyes adatot továbbítani harmadik személy részére csak jogszabályban foglalt esetekben vagy az érintett hozzájárulásával lehet, amennyiben az adatkezelés feltételei és garanciái minden egyes személyes adatra nézve teljesülnek. Az adatfeldolgozásra irányuló adatátadás nem minősül adattovábbításnak.
A cég csak akkor továbbíthatja az adatot, ha megvizsgálta, hogy annak jogszabályban foglalt feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei és garanciái minden egyes személyes adatra megvalósulnak-e.
Jelen pont rendelkezéseit kell alkalmazni az adatkezelések valamint nyilvántartások összekapcsolása, ideértve az ugyanazon adatkezelő adatkezeléseinek valamint nyilvántartásainak összekapcsolása esetén is.
Az adattovábbításról adattovábbítási nyilvántartást köteles a cég vezetni. Az adattovábbítási nyilvántartást az adatátvétel, illetve az adattovábbítás évét követő ötödik év végéig (különleges adatok esetén húsz évig) meg kell őrizni.
Az adattovábbítási nyilvántartás az alábbi információkat tartalmazza:
a) az adattovábbító által kezelt/gyűjtött személyes adatok továbbításának időpontját,
b) a továbbított adatköröket,
c) az adattovábbítás jogalapját
d) az adattovábbítás címzettjét (név, cím, székhely),
e) az adattovábbításért felelős nevét és telefonszámát.

3. Adattovábbítás külföldre vagy nemzetközi szervezet számára
Az adattovábbítást megelőzően a cégnek meg kell vizsgálnia, hogy a külföldre vagy nemzetközi szervezet számára adattovábbítás jogszabályban foglalt feltételei és garanciái fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.
Az EGT-államba (Európai Gazdasági Térségbe tartozó állam) irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
A cég a munkavállalókra vonatkozó adatot harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállalók hozzájárulásával közölhet.
Amennyiben nem EGT-államban, azaz harmadik országban honos adatkezelő vagy adatfeldolgozó részére továbbítja a cég az adatokat, akkor arra a GDPR 45. cikke szerint (a Bizottság megfelelőségi határozata alapján) vagy a 46. cikke szerint (megfelelő garanciák alapján) kerülhet sor.
Az Unió egészére kiterjedő hatállyal a Bizottság dönthet úgy, hogy harmadik ország, egy harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújt.
E bizottsági határozat hiányában az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.
A 46. cikk (2) bekezdése sorolja fel, hogy a felügyeleti hatóság külön engedélye nélkül mik jelenthetik a megfelelő garanciákat:
a) közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszköz;
b) a 47. cikk szerinti kötelező erejű vállalati szabályok;
c) a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadott általános adatvédelmi kikötések;
d) a felügyeleti hatóság által elfogadott és a Bizottság által a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően jóváhagyott általános adatvédelmi kikötések;
e) a 40. cikk szerinti, jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat; vagy
f) a 42. cikk szerinti, jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.

A személyes adatok kezelése tekintetében a főbb irányadó jogszabályok a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény, illetve a munka törvénykönyvéről szóló 2012. évi I. törvény.

Eger, 2019. november 2.

Tóth Martin
Ügyvezető